El Pentágono desplegará redes eléctricas locales autónomas, o microrredes, en 134 bases del Ejército, a partir de mayo. Pero primero probaron la tecnología en DEF CON, buscando la ayuda de los hackers para encontrar vulnerabilidades potencialmente paralizantes para poder prevenir mejor los ataques cibernéticos.
La colaboración se desarrolló en la conferencia anual de ciberseguridad y hacking el pasado fin de semana en Las Vegas, donde más de 1700 asistentes de DEF CON participaron en el desafío de hacking de microrredes del Pentágono, y muchos de ellos cerraron con éxito la red simulada.
Benny era uno de ellos. Un hacker ético de Colorado que no quiso revelar su apellido, cortocircuitó la microrred modelo del Pentágono después de varios minutos de intentar diferentes ataques.
“Si perdemos nuestra infraestructura pública , perdemos estabilidad, por lo que hacer que los hackers piensen en cómo ingresar y cómo manipular los datos y qué harán los datos si se manipulan, creo que es una muy buena idea”, dijo.
Ese es exactamente el objetivo del Pentágono. Los funcionarios de defensa dijeron que acudieron a DEF CON con la esperanza de encontrar posibles ataques, y trabajar para prevenirlos, porque entienden que las micro-redes pueden ser vulnerables.
“Las microrredes más nuevas, como la más experimental que estamos viendo, se basan en [estar] … conectadas automáticamente a los datos meteorológicos”, dijo Katie Olson, subdirectora digital y de IA del Pentágono y directora del Servicio Digital de Defensa (DDS). ), un equipo de hackers, ingenieros y científicos de datos dentro del Departamento de Defensa. Olson dijo que cree que los hackers verán eso como una oportunidad fácil de causar estragos en las redes al forzar “un montón de datos que [falsamente] dicen: ‘Hoy hay mucho viento’ y hacen que se sobrecargue”.
El ejército está impulsando el esfuerzo de la microrred porque los sistemas son energéticamente eficientes, rentables y pueden mantener las bases en funcionamiento incluso si un ataque cibernético o un desastre natural destruye la red eléctrica más grande . Pero también hay un inconveniente. Debido a que las microrredes dependen de tecnología avanzada para conectar varios componentes que brindan inteligencia y automatización, son vulnerables a una amplia gama de ataques.
“En general, los proyectos de energía renovable suelen ser proyectos de energía inteligente, que están inherentemente conectados a sistemas y redes en línea de tal manera que pueden ser mucho más susceptibles a los ataques de ciberseguridad”, dijo Morgan Higman, miembro de Energy Security and Programa de Cambio Climático del Centro de Estudios Estratégicos e Internacionales. “No hacer la diligencia debida con algunos de estos ejercicios de hacking podría generarnos serios problemas de seguridad o problemas operativos, particularmente para las instalaciones militares”.
“Sabemos que la red eléctrica nacional está bajo estrés constante, sabemos que nuestros adversarios en el extranjero continúan atacando más y más profundamente la infraestructura de los Estados Unidos… Sabemos que existe una amenaza de seguridad cibernética definitiva”.
JARROD ROSS, EJÉRCITO DE EE. UU.
Los hackers de DEF CON probaron muchas formas creativas de interrumpir la red. Uno de los más exitosos involucró la inyección de código incorrecto en los pronósticos meteorológicos de la Administración Nacional Oceánica y Atmosférica de los que dependen las microrredes para funcionar.
Así es como Benny y muchos otros hackers en DEF CON pudieron desactivar una turbina eólica y paneles solares que alimentaban el vecindario modelo brillantemente iluminado que anclaba el juego. Las luces dentro de las casas del vecindario se encendían y apagaban y la turbina eólica en miniatura se ponía roja, humeaba y se detenía cada vez que un hacker ganaba el desafío. Lo que fue valioso para DDS, dijeron los funcionarios, fue ver las diversas formas ingeniosas que los asistentes de DEF CON encontraron para manipular los datos de pronóstico en los que se basó el modelo de microrred.
Nick Ashworth es el arquitecto técnico de DDS que trabaja en la resiliencia de las microrredes. Es un ingeniero experimentado y ex experto en guerra electrónica cibernética táctica de la Armada. Pero el sábado, fue burlado por un adolescente que descubrió que debido a que las microrredes funcionan en la escala de temperatura Kelvin, que no usa valores negativos, ella podría insertar números negativos en los modelos de pronóstico para la red y colapsar el sistema.
Dijo que el truco era uno en el que nadie en DDS había pensado todavía.
“Ella subió, se divirtió, pateó traseros”, dijo Ashworth. “Le estaba explicando las matemáticas porque es Kelvin y uno de los huevos de Pascua se está configurando en cero absoluto y ella dijo: ‘Bueno, ¿puedo ir por debajo de cero?’”
Ashworth le dijo que podía. Cuando la niña preguntó qué pasaría, él dice que le dijo que “todo se pondría realmente jodido porque el resto del mundo no baja de cero grados Kelvin. La física tiene un problema real con eso”.
Es importante que el Pentágono obtenga las protecciones de seguridad cibernética de la microrred correctas, dicen los funcionarios. Además de las preocupantes implicaciones para la seguridad nacional de tener instalaciones del Ejército sin energía, el rendimiento de las microrredes también afectará al público, ya que los vecindarios cercanos a las instalaciones del Ejército también estarán conectados a la red.
Ashworth dijo que eso es algo bueno, y señaló las poderosas tormentas invernales que azotaron Texas en febrero de 2022 y mataron a 246 personas. Si esas tormentas hubieran ocurrido en un momento en que las instalaciones del Ejército tenían microrredes en funcionamiento, dijo, los sistemas podrían haber alimentado hogares donde vivían poblaciones vulnerables.
Eso bien puede ser cierto, pero los expertos dicen que, a pesar de su condición de protección contra fallas para la red eléctrica normal, las microrredes son más susceptibles a los ataques cibernéticos. Dado este hecho, algunos se preguntan si las microrredes son seguras para contar con energía de respaldo.
“De hecho, estás haciendo que (la base del ejército) sea más susceptible a los ataques cibernéticos al hacer una red inteligente porque hay puntos de entrada y penetración a los que las personas pueden acceder y engañar al sistema”, dijo Rob Cuzner, director del Centro de Electricidad Sostenible. Energy Systems de la Universidad de Wisconsin en Milwaukee y consultor del proyecto de microrred de la Marina. “No hay tantas comunicaciones de red con redes más convencionales”.
Es por eso que Paul Farnan, subsecretario adjunto principal de instalaciones y medio ambiente del Ejército , cree que el apoyo del DDS es importante, dijo.
“Necesitamos la experiencia técnica que aporta el DDS y que toda esta comunidad aquí aporta para educarnos”, dijo Farnan, quien dijo que desconocía el DDS antes de la asociación de microrredes.
Fort Hunter Liggett de California será la primera instalación del Ejército en obtener una microrred cuando la construcción concluya el próximo año con un precio de referencia de $21,6 millones. El equipo de Ashworth se dirigirá hacia el oeste para realizar pruebas de penetración en el sitio, verificando manualmente la red en busca de vulnerabilidades, en febrero. DDS también está planeando un programa de recompensas por vulnerabilidades para seguir probando la microrred. Ashworth dijo que el Ejército usará los hallazgos como modelo para crear nuevos estándares de seguridad cibernética para microrredes.
Ashworth y su equipo consideran que el proyecto tiene mucho en juego, pero eso no significa que no se estuvieran divirtiendo en DEF CON. Al recordar el truco de Kelvin de la adolescente, Ashworth sonrió y dijo: “Sí, ese fue un ataque válido”.
Fuente: https://www.cyberscoop.com/pentagon-hackers-secure-the-microgrid/
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.